Nos dias de hoje, o tema da segurança da informação é um tema sensível para qualquer organização. Hoje em dia, é cada vez mais fácil para um indivíduo com intenções maliciosas obter acesso a informação ilegítima e/ ou causar danos aos dados disponibilizados pelas empresas. Numa altura em que os ataques informáticos são cada vez mais elaborados, é vital para qualquer entidade possuir uma defesa física e tecnológica robusta. A cada mês que passa, o número de vulnerabilidades descobertas facilmente supera o número do mês anterior e é ultrapassado pelo número do mês seguinte[36][60], e a falta de sensibilidade na matéria pode levar à exploração de uma vulnerabilidade com sucesso por parte de um individuo mal-intencionado. Qualquer organização deve estar ativamente em prevenção sobre as suas infraestruturas, por forma a precaver qualquer vulnerabilidade que possa vir a ser descoberta, e prevenindo que a mesma seja explorada, não apenas devido a obrigações legais, mas também pelo impacto que um ataque possa ter na imagem e negócio da mesma organização. Nasce desta forma uma nova área nas organizações com fim a proteger as mesmas desta nova realidade, a cibersegurança. A cibersegurança consiste no conjunto de pessoas, processos e práticas que visa a proteção de redes, computadores, programas e informação de ataque, dano ou acesso ilícito[41]. Esta é avaliada principalmente através de três propriedades: confidencialidade, disponibilidade e integridade[14]. Qualquer uma destas três propriedades quando violada coloca todo o ecossistema da organização em risco. Este projeto denominado de Continuous Security Assessment, encontra-se no âmbito da dissertação do Mestrado em Segurança Informática (MSI) da Faculdade de Ciências da Universidade de Lisboa (FCUL), e resulta de uma parceria entre a Fundação da Faculdade de Ciências da Universidade de Lisboa(FFCUL) e a Portugal Telecom (PT)[56]. A PT, sendo uma das principais entidades a operar em Portugal, possui uma direção dedicada à segurança e privacidade da informação, a Direção de Cyber Security and Privacy (DCY). A DCY detém vários projetos que visam a segurança da infraestrutura da PT, um destes é o CyberWatch. O projeto CyberWatch tem o propósito de controlar e rever de forma contínua a cibersegurança do ecossistema PT, mais concretamente, abrange um conjunto de processos que visam consciencializar os recursos quanto a novas ameaças na web, novas vulnerabilidades, como ainda no aperfeiçoamento das pessoas, processos e tecnologias. Um dos processos do projeto CyberWatch consiste na deteção, reporte e acompanhamento da evolução das vulnerabilidades nos ativos PT, processo em que esta tese está inserida, mais especificamente, visa a descoberta e acompanhamento de vulnerabilidades recorrendo ao uso de ferramentas de vulnerability scanning. No ano de 2015/2016 a FCUL e a PT associaram-se e foi realizado o projeto “Desenvolvimento de um processo automático de Gestão de Vulnerabilidades de Cibersegurança em ambientes de grande dimensão”, cujos objetivos foram os seguintes: • Ponto central para gerir o agendamento de scans de vulnerabilidades a ativos PT. • Gestão central dos vários scanners de vulnerabilidades à disposição da PT, independentemente da tecnologia. • Transmissão dos resultados para os repositórios de dados da DCY. O resultado final deste projeto foi a criação de uma plataforma cujo nome é Vulnerability Assessment Coordinator (VAC). O VAC foi desenvolvido tendo por base as necessidades da PT na altura. O projeto de Continuous Security Assessment, é uma extensão significativa do projeto descrito anteriormente, agora enquadrado no programa de desenvolvimento CyberWatch, e visa numa primeira instância responder às limitações/problemas atuais do VAC: • Dificuldade no uso da ferramenta. • Falta de interoperabilidade com outras tecnologias de vulnerability scanning. • Controlo e integração com os repositórios de informação da PT. • Impossibilidade de integração dos resultados num contexto do software Maltego.1 Tendo em consideração os problemas descritos anteriormente, esta tese propôs-se a atingir as seguintes contribuições: • Melhoria do software VAC - esta transformação dará origem a uma nova versão do software que se passará a denominar por VACv2-, mais concretamente, tornar a ferramenta escalável quanto a tecnologias de vulnerability scanning e tipos de scan, melhorar a usabilidade da ferramenta, e proteger a própria ferramenta de acessos ilícitos. • Adição de uma nova tecnologia de vulnerability scanning ao VACv2 – Qualys Cloud-based. • Melhoria do módulo de resultados do VACv2, e providenciar o controlo do mesmo ao utilizador. Também inserido neste ponto está o correlacionamento dos resultados dos scans por parte do Maltego. O VACv2 é um esforço para evitar que todo o trabalho dispensado na realização do VAC seja em vão. O VACv2 permite um maior facilitismo na configuração de scans periódicos, não sendo agora imputada responsabilidade ao operador por fazer a gestão dos ativos por cada plataforma de vulnerability scanning, e ainda, no tratamento dos resultados dos scans, sendo que é também objetivo que o VACv2 permita uma gestão centralizada das vulnerabilidades existentes em toda a infraestrutura da PT. Por fim, algo de inovador é o Maltego, software que visa a correlação de dados, recolher os dados associados aos resultados scans e correlacionar os mesmos com os dados vindos de outras plataformas a fim de facilitar o trabalho de outras equipas que têm a função de responder e mitigar eventos de segurança na PT, nomeadamente a equipa do Security Operations Center(SOC).

Nowadays, Information Security is a sensitive issue for any company. Portugal Telecom is one of the most influential companies in Portugal, and to provide confidence to the general public, partners, and stakeholders, it must have a well-defined procedure for securing information. One of PT’s procedures to prevent potential attacks is to check its infrastructures for unknown vulnerabilities periodically. To help to find vulnerabilities present in their systems, PT has acquired scanning technologies. However, these technologies are highly dependent on human interaction. In the past, there has been one thesis in which the final solution - which name is Vulnerability Assessment Coordinator (VAC) - consisted of a centralized point for managing and orchestrating scans of PT’s critical assets. However, this software never made it to a production environment due to its growing limitations. It is in this context that this master thesis - Continuous Security Assessment - is located. This thesis proposes to achieve the following goals: • Improvement of VAC Overall enhancement of the tool, making its scalable regarding technologies, improving usability, and protecting its data from unwanted access; • Addition of a new Scanning Technology into VACv2 addition of the new scanning technology, Qualys, and meeting its requirements; • Results treating & Data correlation - Improving the results manager module and providing control to the operator, and allowing data correlation. This master thesis will take advantage of the software already developed by the other master thesis and will improve the usability of it, while also making it independent of any scanning technologies and scanning types. One other feature that will be intended for this thesis is the possibility of correlating the scan results provided by the scanning technologies with other sources with resort to specialized software for data correlation.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018